Yeni bir bilgi hırsızı (infostealer) kötü amaçlı yazılım olan ‘Shamos’, Mac cihazlarını hedef alıyor. Sahte sorun giderme kılavuzları ve düzeltmeleri taklit eden ClickFix saldırılarıyla yayılıyor.
Atomic macOS Stealer’ın (AMOS) bir varyantı olan bu yeni kötü amaçlı yazılım, siber suç grubu “COOKIE SPIDER” tarafından geliştirildi. Web tarayıcılarında, Keychain öğelerinde, Apple Notları’nda ve kripto para cüzdanlarında depolanan veri ve kimlik bilgilerini çalmak için kullanılıyor.
Shamos’u tespit eden CrowdStrike’ın raporlarına göre, bu kötü amaçlı yazılım Haziran 2025’ten bu yana dünya çapında izledikleri üç yüzün üzerinde ortamda enfeksiyon girişiminde bulundu.
Kurbanlar, kullanıcıları macOS Terminal’de kabuk komutları yürütmeye yönlendiren ClickFix saldırılarını kullanan kötü amaçlı reklamcılık veya sahte GitHub depoları aracılığıyla tuzağa düşürülüyor.
Tehdit aktörleri, kullanıcıları yazılım yüklemek veya sahte hataları düzeltmek için bu komutları çalıştırmaya teşvik ediyor. Ancak yürütüldüğünde, aslında cihazdaki kötü amaçlı yazılımı indirip çalıştırıyorlar.
Reklamlar veya sahte sayfalar (mac-safer[.]com, rescue-mac[.]com), insanların araması muhtemel macOS sorunlarıyla ilgili yardım sağladığını iddia ediyor ve sorunu düzeltmek için komutu kopyalayıp yapıştırmalarını isteyen talimatlar içeriyor.
Ancak komut, herhangi bir şeyi düzeltmek yerine, Base64 ile kodlanmış bir URL’nin kodunu çözüyor ve uzak bir sunucudan kötü amaçlı bir Bash betiği getiriyor.
Bu betik, kullanıcının parolasını yakalıyor, Shamos mach-O yürütülebilir dosyasını indiriyor ve Gatekeeper’ı atlamak için ‘xattr’ (karantina bayrağını kaldırır) ve ‘chmod’ (ikili dosyayı yürütülebilir hale getirir) kullanarak kötü amaçlı yazılımı hazırlayıp yürütüyor.
Shamos, cihaza yüklendikten sonra, bir sanal makinede (sandbox) çalışmadığını doğrulamak için anti-VM komutlarını ve ardından ana bilgisayar keşfi ve veri toplama için AppleScript komutlarını yürütüyor.
Shamos, cihazdaki kripto para birimi cüzdan dosyaları, anahtarlık verileri, Apple Notları verileri ve kurbanın tarayıcısında depolanan bilgiler de dahil olmak üzere hassas verileri arıyor.
Her şeyi topladıktan sonra, bunları ‘out.zip’ adlı bir arşive paketliyor ve curl kullanarak saldırgana iletiyor.
Kötü amaçlı yazılımın sudo ayrıcalıklarıyla çalıştığı durumlarda, ayrıca bir Plist dosyası (com.finder.helper.plist) oluşturuyor ve kullanıcının LaunchDaemons dizinine kaydederek sistem başlangıcında otomatik yürütme yoluyla kalıcılık sağlıyor.
CrowdStrike ayrıca, Shamos’un kurbanın ana dizinine ek yükler indirebileceğini ve tehdit aktörlerinin sahte bir Ledger Live cüzdan uygulaması ve bir botnet modülü düşürdüğü vakalar gözlemlediğini belirtiyor.
MacOS kullanıcılarına, ne yaptıklarını tam olarak anlamadıkları takdirde, sistemlerinde çevrimiçi buldukları komutları asla yürütmemeleri tavsiye ediliyor.
Aynı şey GitHub depoları için de geçerli, çünkü platform ne yazık ki şüphelenmeyen kullanıcıları enfekte etmeyi amaçlayan çok sayıda kötü amaçlı projeye ev sahipliği yapıyor.
MacOS ile ilgili sorunlarla karşılaşıldığında, sponsorlu arama sonuçlarından kaçınmak ve bunun yerine Apple tarafından yönetilen Apple Community forumlarında veya sistemin yerleşik Yardım bölümünde (Cmd + Space → “Yardım”) yardım aramak daha iyidir.
ClickFix saldırıları, kötü amaçlı yazılımları dağıtmada yaygın bir taktik haline geldi ve tehdit aktörleri bunları TikTok videolarında, captcha olarak veya sahte Google Meet hataları için düzeltmeler olarak kullanıyor.
Bu taktik, kötü amaçlı yazılımları dağıtmada o kadar etkili olduğunu kanıtladı ki, fidye yazılımı saldırılarında ve hatta devlet destekli tehdit aktörleri tarafından bile kullanıldı.
